Die Hamburger Datenschutzbehörde hat heute morgen mittels einer Pressemitteilung bekannt gegeben, dass gegenüber der Modekette H&M ein Bußgeldbescheid in Höhe von 35,3 Millionen erlassen wurde.
Ruuuummmsss!
Die Gesellschaft H&M Hennes & Mauritz Online Shop A.B. & Co. KG hat ihren Sitz in Hamburg, so dass der Hamburger Beauftragte für Datenschutz und Informationssicherheit (HmbBfDI) für Datenschutzverstöße dieses Unternehmens zuständig ist. Konkret ging es um ein Servicecenter des Unternehmens in Nürnberg. Dort fand eine „Mitarbeiterbetreuung“ statt, wie man sie bis dato wohl nur aus Schleckerfilialen kannte. Seit dem Jahr 2014 wurden von Beschäftigten in großem Umfang private Lebensumstände dokumentiert. Dies meint, dass nicht nur Urlaubs- oder Krankentage erfasst wurden (soweit normal wie zur Abrechnung notwendig), sondern freundliche „Welcome Back Talks“ geführt wurden. Dabei wurden dann sowohl Urlaubserlebnisse wie auch Krankheitssymptome und Diagnosen dokumentiert. Ebenso fanden sich Aufzeichnungen zum Privatleben der Mitarbeiter, die die Führungskräfte wohl dem Flurfunk entnahmen, wie religöse Bekenntnisse oder familiäre Probleme. Damit das ganze seine Ordnung hat, wurden diese Erkenntnisse digital gespeichert und waren einem Kreis von bis zu 50 Führungskräften zugänglich. Schließlich wurden diese Erkenntnisse auch zu Auswertungen von individuellen Arbeitsleistungen sowie zur Erstellung von Profilen der Beschäftigten genutzt, um daraus Maßnahmen und Entscheidungen das Arbeitsverhältnis betreffend zu ergreifen.
Wow.
Da braucht es keiner tiefen juristischen Kenntnisse im Datenschutz- und Arbeitsrecht, um zu erkennen, dass da nicht zu rechtfertigende Eingriffe in Rechte der Betroffenen (der Beschäftigten) vorliegen.
Bekannt wurde das Ganze – wie so oft – durch einen „Fehler“ in der IT. Die vorgenannten Datensätze waren im Oktober 2019 für einige Stunden unternehmensweit abrufbar. Wenig überraschend erlangte dann die zuständige Aufsichtsbehörde von diesem Vorfall Kenntnis – und zwar in Form von Presseberichten. Dann kam es wie es kommen musste.
Die Behörde machte von ihren Befugnissen Gebrauch.
Der HmbfDI ordnete an, dass ein vollständiger Spiegel der Netzlaufwerke im Ist-Zustand erstellt und der herausgegeben werden musste. Das HmbfDI hatte so dann 60 Gigabyte an Daten auszuwerten.
Das Unternehmen legte recht schnell ein Konzept zur Aufarbeitung der Geschehnisse inklusive zukünftiger Datenschutzmaßnahmen wie die Berufung eines Datenschutzkoordinators, monatliche Datenschutz-Updates und eines Auskunftskonzepts vor. Daneben folgte sie der Anregung der Datenschutzbehörde, den Betroffenen Schadensersatz (im Sinne von Art. 82 DSGVO) zu zahlen.
Wer den Art. 83 DSGVO und das Bußgeldkonzept der Behörden kennt, weiß, dass sich diese Reaktion des Unternehmens positiv (d.h. verringernd) auf die Höhe des Bußgelds ausgewirkt haben wird. Durch die unbürokratische Zahlung von Schadensersatz wird das Unternehmen auch Klagen und damit weitere negative Presse vermieden haben.
Fazit
Datenschutz ist endlich ernst zu nehmen. Ebenso Datensicherheit. Sehr zynisch könnte man hier gar vermerken, dass dieser Datenschutzverstoß vermutlich nie bekannt geworden wäre, wenn das Unternehmen seine IT-Systeme besser im Griff gehabt hätte. Dieser Fall zeigt vor allem in schönster Art und Weise, was passiert, wenn sich Führungskräfte über die Bedeutung von datenschutzrechtlichen Fragen und insbesondere auch deren etwaigen Konsequenzen nicht nur nicht bewusst sind, sondern aufgrund dieses mangelnden Wissens auch noch ein von allen getragenes, als normal empfundenes, Konstrukt des systematischen Verstoßes gegen die Rechte von Beschäftigten geschaffen wird.
Und wer nun glaubt, dies sei ein schlecker-ähnlicher Einzelfall, dem sei gesagt, dass dies mit Sicherheit nicht der Fall ist. Dabei muss es auch nicht um Beschäftigtendatenschutz gehen. Gleichermaßen sind derart laxe Einstellungen (um es noch freundlich zu formulieren) bei anderen Unternehmen im Hinblick auf den Umgang mit Kundendaten aus Sicht des Datenschutzes und der Datensicherheit zu finden. Das betrifft gar nicht zwingend die eigenen Systeme, sondern sehr oft die mangelhafte Auswahl und Prüfung von Dienstleistern (zB. SaaS-Lösungen). Vergessen wird dabei, dass derjenige, der die Daten mit diesen Systemen verarbeitet, der Verantwortliche bleibt.
Auch wenn man zu diesem Fall noch jede Menge schreiben könnte, soll es dann an dieser Stelle mit der kurzen Information gewesen sein.
In diesem Sinne,
Augen auf die Datenschutz- und Datensicherheitskonzepte im eigenen Unternehmen!
[…] Hamburger Datenschutzbehörde verhängt Bußgeld von 35,3 Millionen gegen H&MAugen auf bei den Datenschutz- und Datensicherheitskonzepten im UnternehmenQuelle: blog diercks-digital > RAin Nina Diercks (M.Litt, University of Aberdeen) […]
Hallo Frau Diercks,
vielen Dank für die – wie immer – interessante Zusammenfassung. Soweit ich in der offiziellen Pressemitteilung von H&M gelesen habe, will das Unternehmen den Bescheid jetzt prüfen und eventuell Widerspruch einlegen. Wissen Sie, wie dann der Prozess weitergehen würde und wie Sie die Chancen von H&M einschätzen?
Viele Grüße
Max
[…] Jetzt nochmal ein etwas anderes Thema: Anfang Oktober hat die DSGVO mal wieder „zugeschlagen“ – die Hamburger Datenschutzbehörde hat ein saftiges Bußgeld von über 35 Millionen Euro gegen H&M verhängt. Denn der Modekonzern hatte in einem Nürnberger Servicecenter mindestens seit 2014 sehr private Daten zentral erfasst. Im Rahmen der „Mitarbeiterbetreuung“ gab es nach Urlaub oder Krankheit sogenannte „Welcome Back Talks“, in denen sowohl Urlaubserlebnisse wie auch Krankheitssymptome und Diagnosen besprochen und dokumentiert wurden. Wohl dem Flurfunk entnahmen die Vorgesetzten dann auch noch Details zum Privatleben der Mitarbeiter, wie religiöse Bekenntnisse oder familiäre Probleme, und speicherten diese ordentlich digital ab, sodass zeitweise bis zu 50 Führungskräfte darauf zugreifen konnten. Schließlich wurden diese Erkenntnisse sogar zu Auswertungen von individuellen Arbeitsleistungen sowie zur Erstellung von Profilen der Beschäftigten genutzt, um daraus Maßnahmen und Entscheidungen das Arbeitsverhältnis betreffend zu ergreifen. Also wirklich das volle Programm. […]